Q&A dotyczące outsourcingu w firmach inwestycyjnych - Komisja Nadzoru Finansowego
Rynek kapitałowy
Q&A dotyczące outsourcingu w firmach inwestycyjnych
- Q&A dotyczące outsourcingu w firmach inwestycyjnych
- Q&A dotyczące postępowania w sprawie wydania przez KNF zezwolenia na wycofanie akcji spółki z obrotu na rynku regulowanym lub w Alternatywnym Systemie Obrotu
- Q&A dotyczące zarządzania produktowego
- Q&A dotyczące wykonywania obowiązków w zakresie polityki wynagrodzeń i sprawozdania o wynagrodzeniach
- Q&A dotyczące rejestru akcjonariuszy
- Q&A dotyczące wymogów prawnych dla członków zarządu TFI, których powołanie wymaga uzyskania zgody KNF
- Q&A dot. Stanowiska UKNF w sprawie niektórych aspektów dotyczących zarządzania ryzykiem funduszy inwestycyjnych i alternatywnych spółek inwestycyjnych
- Metodyka BION dla domów maklerskich
- Metodyka BION dla towarzystw funduszy inwestycyjnych
- Informacja o warunkach prowadzenia działalności maklerskiej na terytorium Rzeczypospolitej Polskiej przez zagraniczne firmy inwestycyjne
- Informacja o warunkach prowadzenia przez spółki zarządzające działalności w formie oddziału na terytorium Rzeczypospolitej Polskiej
- Poradnik FATF dla sektora papierów wartościowych na temat stosowania podejścia opartego na ryzyku (ang. RBA)
Informacje wstępne
Korzystanie przez firmy inwestycyjne z outsourcingu – informacje ogólne
Przedstawione Q&A mają na celu rozwianie najczęściej zgłaszanych wątpliwości w zakresie korzystania z outsourcingu przez firmy inwestycyjne.
Outsourcing w kontekście działalności firm inwestycyjnych uregulowano w przepisach rozporządzenia 2017/5651 oraz u.o.i.f.2 Regulacje tam zawarte obowiązują wszystkie kategorie firm inwestycyjnych, w tym przede wszystkim domy maklerskie oraz banki prowadzące działalność maklerską. Ponadto, na podstawie art. 70 ust. 4 u.o.i.f. przepisy dotyczące outsourcingu firm inwestycyjnych obowiązują również banki, o których mowa w art. 70 ust. 2 u.o.i.f.
Zgodnie z art. 81a ust. 1 u.o.i.f. firma inwestycyjna może, na podstawie umowy zawartej w formie pisemnej, powierzyć przedsiębiorcy lub przedsiębiorcy zagranicznemu wykonywanie czynności, o których mowa w art. 2 pkt 3 rozporządzenia 2017/565 (outsourcing). Zgodnie z definicją określoną w art. 2 pkt 3 rozporządzenia 2017/565 „outsourcing” oznacza dowolnego rodzaju umowę między firmą inwestycyjną i dostawcą usług, na podstawie której dostawca wykonuje proces, usługę lub działalność, które w innym przypadku zostałyby wykonane przez samą firmę inwestycyjną.
Szczególne obowiązki spoczywają na firmie inwestycyjnej w przypadku, gdy powierzenie w ramach outsourcingu dotyczy podstawowych lub istotnych funkcji operacyjnych w rozumieniu art. 30 rozporządzenia 2017/565 (outsourcing regulowany). W przypadku tej kwalifikowanej postaci outsourcingu firma inwestycyjna jest obowiązana postępować i wdrożyć rozwiązania wynikające z art. 31 i art. 32 rozporządzenia 2017/565.
Zgodnie z art. 30 ust. 1 rozporządzenia 2017/565 funkcje operacyjne uznaje się za funkcje o podstawowym lub istotnym znaczeniu, o ile błąd lub niepowodzenie w ich wykonaniu zagrażałyby w sposób istotny:
- ciągłości wypełniania przez firmę inwestycyjną warunków zezwolenia lub
- ciągłości spoczywających na niej innych zobowiązań wynikających z dyrektywy 2014/65/UE3lub też
- zagrażałaby jej wynikom finansowym, niezawodności lub ciągłości wykonywanych przez nią usług inwestycyjnych i działalności inwestycyjnej.
Jednocześnie art. 30 ust. 2 rozporządzenia 2017/565 wskazuje, że nie uznaje się za mające podstawowe lub istotne znaczenie:
- usług doradztwa świadczonych na rzecz firmy i innych usług niebędących częścią działalności inwestycyjnej firmy, w tym świadczenia na rzecz firmy usług w zakresie doradztwa prawnego, szkolenia personelu, fakturowania oraz ochrony obiektów i pracowników firmy;
- zakupu znormalizowanych usług, w tym usług związanych z dostarczaniem informacji rynkowych i notowań.
Zgodnie z art. 31 ust. 1 rozporządzenia 2017/565 firma inwestycyjna, zlecając outsourcing funkcji podstawowych lub istotnych, zachowuje pełną odpowiedzialność za wykonywanie obowiązków wynikających z dyrektywy 2014/65/UE i spełnia następujące warunki:
a) outsourcing nie prowadzi do delegowania przez kierownictwo wyższego szczebla swoich obowiązków,
b) stosunek i zobowiązania firmy inwestycyjnej wobec swoich klientów, wynikające z dyrektywy 2014/65/UE, nie ulegają zmianie,
c) outsourcing nie osłabia warunków, jakie musi spełnić firma inwestycyjna, aby uzyskać i utrzymać zezwolenie,
d) żaden z innych warunków, na podstawie których udzielono firmie zezwolenia, nie przestaje obowiązywać ani nie ulega zmianie.
Zgodnie z art. 31 ust. 2 rozporządzenia 2017/565 firma inwestycyjna musi zapewnić, że:
- usługodawca ma kompetencje, zasoby i zezwolenia,
- świadczy usługi rzetelnie, zgodnie z prawem i wymogami regulacyjnymi,
- firma zachowuje kontrolę i wiedzę specjalistyczną umożliwiającą nadzór,
- możliwe jest natychmiastowe rozwiązanie umowy w interesie klientów,
- zapewniony jest dostęp organów nadzoru i audytorów do danych i lokali,
- chronione są informacje poufne,
- istnieje plan awaryjny i testowane procedury odzyskiwania danych,
- zapewniona jest ciągłość usług także po zakończeniu współpracy.
Umowa outsourcingowa musi być zawarta w formie pisemnej oraz jasno określać prawa i obowiązki stron, uprawnienia firmy inwestycyjnej do wydawania instrukcji, sprawowania kontroli oraz rozwiązania umowy, a także zasadę, że zastosowanie podoutsourcingu wymaga uprzedniej pisemnej zgody firmy inwestycyjnej (art. 31 ust. 3 rozporządzenia 2017/565). Ponadto firma inwestycyjna jest zobowiązana do spełnienia pozostałych wymogów wynikających z art. 31 rozporządzenia 2017/565.
W przypadku powierzenia funkcji usługodawcy zlokalizowanemu w państwie trzecim, zgodnie z art. 32 rozporządzenia 2017/565, na firmie inwestycyjnej spoczywają dodatkowe obowiązki mające na celu zapewnienie zgodności z wymogami regulacyjnymi oraz nieprzerwanego nadzoru nad wykonywanymi czynnościami.
Zgodnie z art. 81c ust. 1 u.o.i.f. firma inwestycyjna jest obowiązana uwzględniać ryzyko związane z powierzeniem wykonywania czynności w systemie zarządzania ryzykiem, dokonując jego identyfikacji, analizy oraz zapewniając bieżące monitorowanie i nadzór.
Na firmie inwestycyjnej spoczywają również pewne obowiązki informacyjne względem KNF wynikające z art. 81d u.o.i.f. Firma inwestycyjna jest zobowiązana zawiadomić KNF o zawarciu umowy outsourcingu w terminie 14 dni od dnia jej zawarcia, w przypadku gdy powierzenie dotyczy podstawowych lub istotnych funkcji operacyjnych. Firma inwestycyjna jest obowiązana również zawiadomić KNF o istotnej zmianie, rozwiązaniu lub wygaśnięciu umowy w terminie 14 dni od dnia tego zdarzenia. Za istotną zmianę umowy uważa się w szczególności zmianę zakresu czynności powierzonych innemu przedsiębiorcy lub przedsiębiorcy zagranicznemu. Obowiązek ten jest realizowany za pośrednictwem systemu ESPI przy wykorzystaniu formularza UMOWY.
Przepisy art. 81f u.o.i.f. dopuszczają tzw. „podoutsourcing”, czyli dalsze powierzenie przez usługodawcę wykonywania czynności powierzonych mu przez firmę inwestycyjną. Usługodawca (którym może być przedsiębiorca lub przedsiębiorca zagraniczny) może powierzyć innemu przedsiębiorcy lub przedsiębiorcy zagranicznemu wykonywanie czynności, które zostały mu zlecone przez firmę inwestycyjną, o ile firma inwestycyjna wyrazi na to pisemną zgodę. Pisemna zgoda firmy inwestycyjnej powinna określać zakres powierzanych czynności wraz ze wskazaniem oznaczonego usługodawcy. Usługodawca nie może dalej powierzyć czynności w takim zakresie lub w taki sposób, który wykraczałby poza granice czynności, jakie zostały mu powierzone przez firmę inwestycyjną. Zgodnie z art. 81f ust. 2 u.o.i.f., czynności powierzone w ramach podoutsourcingu nie mogą stanowić istoty czynności zleconych przez firmę inwestycyjną, a w przypadku umów, o których mowa w art. 81a ust. 2 u.o.i.f. - powodować, że którykolwiek z warunków przewidzianych w art. 31 ust. 2 rozporządzenia 2017/565 nie będzie spełniony. Dalsze powierzanie wykonania czynności zleconych przez firmę inwestycyjną jest dopuszczalne pod warunkiem zachowania tych samych wymogów (art. 81f ust. 3a u.o.i.f.). Powierzenie to nie może wyłączać odpowiedzialności firmy inwestycyjnej.
Outsourcing podlega także regulacjom nadzorczym wynikającym z wytycznych europejskich organów nadzoru oraz ukształtowanej praktyce nadzorczej. Zgodnie z podejściem organów nadzorczych outsourcing funkcji podstawowych lub istotnych nie może prowadzić do powstania podmiotu typu „empty shell” lub „letter-box entity”, czyli podmiotu bez rzeczywistej substancji operacyjnej w UE, tj. nieposiadającego realnych zasobów, kompetencji, systemów oraz zdolności decyzyjnych i nadzorczych umożliwiających samodzielne prowadzenie działalności objętej zezwoleniem. W każdej sytuacji firma inwestycyjna powinna być w stanie samodzielnie lub poprzez przeniesienie funkcji na inny podmiot, zapewnić ciągłość działalności, jeżeli wykonanie outsourcingu zostanie przerwane. W tym celu firma inwestycyjna powinna odpowiednio ukształtować postanowienia umów outsourcingowych, w tym dotyczące okresów wypowiedzenia oraz warunków ich rozwiązania, tak aby możliwe było terminowe przejęcie wykonywania powierzonych czynności lub ich powierzenie innemu przedsiębiorcy przed wygaśnięciem lub rozwiązaniem umowy. Firma inwestycyjna ponosi przy tym pełną odpowiedzialność za zapewnienie ciągłości działalności niezależnie od korzystania z outsourcingu.
Jednocześnie firma inwestycyjna musi zachować zdolność do sprawowania skutecznego nadzoru (effective oversight) nad czynnościami powierzonymi w ramach outsourcingu, w szczególności poprzez zapewnienie odpowiednich procedur monitorowania oraz mechanizmów zarządzania ryzykiem.
Należy podkreślić, że kwestie zapewnienia efektywnego nadzoru przez cały czas trwania powierzenia oraz zagwarantowanie przez firmę inwestycyjną ciągłości świadczenia usług na wypadek rozwiązania umowy mają fundamentalne znaczenie przy ocenie zgodności z prawem, a tym samym dopuszczalności outsourcingu. Decyzja o dopuszczalności outsourcingu danego zakresu podlega ocenie przez KNF w sposób indywidualny, a do obowiązków firmy inwestycyjnej należy zapewnienie i wykazanie, że wszystkie wymogi prawne zostały spełnione.
Należy również wskazać, że obowiązujące ramy prawne w zakresie outsourcingu zostaną w ciągu najbliższego roku uzupełnione o nowe wytyczne EBA4 dotyczące zarządzania ryzykiem związanym z podmiotami trzecimi. Wytyczne pozostają obecnie w fazie konsultacji i mają wejść w życie w 2026 r., zastępując dokument z 2019 r. Jednak już na etapie projektowym podkreślają one konieczność zapewnienia przez instytucje finansowe realnej substancji operacyjnej w UE oraz utrzymania zdolności do sprawowania skutecznego nadzoru nad funkcjami powierzonymi podmiotom trzecim.
W szczególnym otoczeniu regulacyjnym funkcjonują banki prowadzące działalność maklerską. Bank w przypadku outsourcingu czynności związanych z prowadzeniem działalności maklerskiej zobowiązany jest stosować przepisy określone w rozporządzeniu 2017/565 oraz u.o.i.f., natomiast w zakresie outsourcingu czynności obejmujących działalność bankową zobowiązany jest stosować odpowiednie przepisy Prawa bankowego . W sytuacji gdy outsourcing czynności banku dotyczy zarówno działalności maklerskiej jak i działalności bankowej, wówczas zlecenie przez bank wykonywania określonych czynności powinno pozostawać w zgodzie zarówno z przepisami o outsourcingu firm inwestycyjnych określonymi w rozporządzeniu 2017/565 oraz u.o.i.f., jak i przepisami Prawa bankowego.5
1Rozporządzenie delegowane Komisji (UE) 2017/565 z dnia 25 kwietnia 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2014/65/UE w odniesieniu do wymogów organizacyjnych i warunków prowadzenia działalności przez firmy inwestycyjne oraz pojęć zdefiniowanych na potrzeby tej dyrektywy (dalej „rozporządzenie 2017/565”).
2Ustawa z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (dalej „u.o.i.f.”).
3Dyrektywa Parlamentu Europejskiego i Rady 2014/65/UE z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniająca dyrektywę 2002/92/WE i dyrektywę 2011/61/UE (dalej „dyrektywa 2014/65/UE”).
4Draft Guidelines on Sound Management of Third-Party Risk, październik 2025 r., wydane przez Europejski Urząd Nadzoru Bankowego (EBA/CP/2025/10), planowane wejście w życie w 2026 r.
5Ustawa z dnia 29 sierpnia 1997 r. - Prawo bankowe (dalej „Prawo bankowe”).
1. Świadczenie usług przez firmę inwestycyjną drogą telefoniczną uwarunkowane jest zawarciem umowy o świadczenie usług telekomunikacyjnych z uprawnionym podmiotem. Czy umowa z operatorem telekomunikacyjnym obejmująca również rejestrację rozmów, przekazanie nagrań do firmy inwestycyjnej i przechowanie nagrań do czasu przekazania ich do firmy inwestycyjnej stanowi outsourcing regulowany?
Data aktualizacji: 5 czerwca 2023
Zgodnie z art. 83a ust. 3h pkt 1 u.o.i.f. firma inwestycyjna ma obowiązek nagrywać rozmowy telefoniczne prowadzone z klientami w związku ze świadczonymi usługami maklerskimi, o których mowa w art. 69 ust. 2 pkt 1–5 u.o.i.f.: istnieje zatem bezpośredni obowiązek nagrywania nałożony na firmy inwestycyjne przez ustawę.
Zgodnie z art. 83a ust. 4 u.o.i.f. firma inwestycyjna ma obowiązek rejestrować, przechowywać i archiwizować dokumenty, nagrania rozmów telefonicznych, korespondencję elektroniczną oraz inne informacje sporządzane, przekazywane lub otrzymywane w związku ze świadczonymi usługami maklerskimi: istnieje tym samym bezpośredni obowiązek przechowywania nagranych rozmów telefonicznych nałożony na firmy inwestycyjne przez ustawę.
Powyższe przepisy stanowią transpozycję art. 16 ust. 6 i 7 dyrektywy 2014/65. Zgodnie natomiast z art. 30 rozporządzenia 2017/565 za funkcje operacyjne uznaje się funkcje o podstawowym lub istotnym znaczeniu (outsourcing regulowany), o ile błąd lub niepowodzenie w ich wykonaniu zagrażałyby w sposób istotny ciągłości wypełniania przez firmę inwestycyjną warunków zezwolenia lub spoczywających na niej innych zobowiązań wynikających z dyrektywy 2014/65/UE lub też zagrażałyby jej wynikom finansowym, niezawodności lub ciągłości wykonywanych przez nią usług inwestycyjnych i działalności inwestycyjnej.
Obowiązek określony w art. 83a ust. 4 u.o.i.f. jest jednym z kluczowych wymogów pozwalających na ochronę interesów klientów poprzez możliwość utrwalenia rozmowy z przedstawicielami firmy inwestycyjnej. Umożliwia on weryfikację przebiegu rozmowy oraz potencjalnych nieprawidłowości, które mogły podczas niej zaistnieć. Stanowi on również istotne narzędzie do kontroli przez firmę inwestycyjną prawidłowości wypełniania przez nią wymogów świadczenia usług maklerskich. Z tego powodu brak wypełnienia przez firmę inwestycyjną obowiązku, o którym mowa w art. 83a ust. 4 u.o.i.f. lub jego nieprawidłowa realizacja zagrażałyby w sposób istotny ciągłości wypełniania przez firmę inwestycyjną warunków zezwolenia i spoczywających na niej innych zobowiązań wynikających z dyrektywy 2014/65/UE (art. 16 ust. 6 i 7 dyrektywy 2014/65).
Powierzenie przez firmę inwestycyjną wykonywania obowiązków nagrywania i przechowywania nagranych rozmów telefonicznych firmie telekomunikacyjnej stanowi outsourcing regulowany i umowa w tym zakresie powinna spełniać wymogi przewidziane prawem dla tej formy outsourcingu.
2. Czy można uznać, że usługa świadczona przez jednego z dostawców oprogramowania zapewniającego dostęp do danych rynkowych i notowań polegająca na zbieraniu oraz udostępnianiu archiwum historii transakcji oraz korespondencji prowadzonych przez użytkowników tego oprogramowania powinna być klasyfikowana jako powierzenie podmiotowi trzeciemu obowiązku archiwizacji, o którym mowa w art. 83a ust. 4 u.o.i.f. Dane dotyczące transakcji oraz towarzysząca im korespondencja są przekazywane przez takiego dostawcę firmom inwestycyjnym i archiwizowane przez nie w ciągu 24 godzin?
Data aktualizacji: 5 czerwca 2023
Zakładając, że:
- dane objęte obowiązkiem przechowywania i archiwizacji są pobierane przez firmę inwestycyjną w cyklach 24-godzinnych, a następnie przechowywane i archiwizowane na jej serwerach
można uznać, że opisana usługa nie stanowi powierzenia podmiotowi trzeciemu obowiązku przechowywania i archiwizacji, o którym mowa w art. 83a ust. 4 u.o.i.f., a tym samym nie stanowi outsourcingu w rozumieniu u.o.i.f. oraz rozporządzenia 2017/565.
3. Czy słuszne jest stanowisko, że umowa zawarta przez firmę inwestycyjną z podmiotem zewnętrznym, której przedmiotem jest serwisowanie systemu informatycznego z zakresu przeciwdziałania manipulacjom i nadużyciom oraz wykorzystywaniu informacji poufnych (system wspierający firmy inwestycyjne w realizacji obowiązków wynikających z MAD/MAR) nie jest umową outsourcingu w świetle u.o.i.f., regulacji UE oraz – dla bankowych biur maklerskich – Wytycznych EBA? Samo użytkowanie systemu wspomagania systemu przeciwdziałania manipulacji wynika z innej umowy (licencyjnej), na mocy której biuro maklerskie ma prawo użytkowania systemu, który jest zainstalowany na infrastrukturze własnej biura maklerskiego i administrowany jest przez pracowników biura maklerskiego (dostawca oprogramowania nie ma dostępu do tego systemu). Pytanie dotyczy umowy serwisowej, której przedmiotem jest serwis systemu – np. w wyniku zauważonego błędnego działania systemu dostawca wdraża w systemie odpowiednią poprawkę, która jest przesyłana do biura maklerskiego, gdzie administrator systemu (pracownik biura maklerskiego) instaluje ją w systemie (na infrastrukturze biura maklerskiego)?
Data aktualizacji: 5 czerwca 2023
Zgodnie z art. 2 pkt 3 Rozporządzenia 2017/565 „outsourcing” oznacza dowolnego rodzaju umowę między firmą inwestycyjną i dostawcą usług, na podstawie której dostawca wykonuje proces, usługę lub działalność, które w innym przypadku zostałyby wykonane przez samą firmę inwestycyjną. Serwisowanie systemu informatycznego, które wspiera wykonywanie funkcji wewnętrznych podmiotu i które w innym przypadku nie zostałoby wykonane przez samą firmę inwestycyjną, nie powinno być traktowane jako outsourcing lub outsourcing regulowany. W odniesieniu do obszaru technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach obligatoryjne zastosowanie mają Rekomendacja D KNF dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach i Rekomendacja M KNF dotycząca zarządzania ryzykiem operacyjnym w bankach.
4. Czy biura maklerskie objęte są obowiązkiem stosowania Wytycznych EBA dotyczących outsourcingu?
Data aktualizacji: 5 czerwca 2023
Tak, biura maklerskie powinny stosować „Wytyczne w sprawie outsourcingu” wydane przez EBA (Europejski Urząd Nadzoru Bankowego).
5. Czy funkcja audytu wewnętrznego w firmie inwestycyjnej powinna zostać uznana za funkcję operacyjną o znaczeniu podstawowym lub istotnym w rozumieniu art. 81a ust. 2 u.o.i.f.?
Data aktualizacji: 5 czerwca 2023
Art. 81a ust. 2 u.o.i.f. przewiduje stosowanie reżimu przewidzianego w art. 31 i 32 Rozporządzenia 2017/565 w przypadku powierzenia podmiotowi trzeciemu wykonywania funkcji operacyjnych o podstawowym lub istotnym znaczeniu w rozumieniu art. 30 tego rozporządzenia. Zgodnie natomiast z art. 30 Rozporządzenia 2017/565 za funkcje operacyjne uznaje się funkcje o podstawowym lub istotnym znaczeniu, o ile błąd lub niepowodzenie w ich wykonaniu zagrażałyby w sposób istotny ciągłości wypełniania przez firmę inwestycyjną warunków zezwolenia lub spoczywających na niej innych zobowiązań wynikających z dyrektywy 2014/65/UE lub też zagrażałaby jej wynikom finansowym, niezawodności lub ciągłości wykonywanych przez nią usług inwestycyjnych i działalności inwestycyjnej. Zgodnie z art. 24 Rozporządzenia 2017/565 obowiązki funkcji audytu wewnętrznego polegają na:
ustanowieniu, wdrożeniu i utrzymywaniu planu audytu służącego badaniu i ocenianiu adekwatności i skuteczności systemów, mechanizmów kontroli wewnętrznej i uzgodnień stosowanych przez firmę inwestycyjną;
wydawaniu rekomendacji na podstawie wyników prac przeprowadzonych zgodnie z punktem pierwszym oraz weryfikowaniu przestrzegania tych rekomendacji;
składaniu sprawozdań z audytów wewnętrznych.
Funkcja audytu wewnętrznego nie jest elementem funkcji operacyjnych, gdyż polega na zapewnieniu skuteczności mechanizmów kontroli wewnętrznej. Działa ona niezależnie i oddzielnie od innych funkcji i obszarów działalności firmy inwestycyjnej (art. 24 Rozporządzenia 2017/565). Nie jest więc funkcją operacyjną (wykonawczą), lecz funkcją „zewnętrzną” względem toku działalności firmy inwestycyjnej.
Błąd lub niepowodzenie w wykonywaniu zadań przypisanych do funkcji audytu wewnętrznego nie zagrażałyby w sposób istotny ciągłości wypełniania przez firmę inwestycyjną warunków zezwolenia lub spoczywających na niej innych zobowiązań wynikających z dyrektywy 2014/65/UE ani też nie zagrażałyby jej wynikom finansowym, niezawodności lub ciągłości wykonywanych przez nią usług inwestycyjnych i działalności inwestycyjnej.
Wobec powyższego można uznać, że jest to funkcja odmienna od funkcji operacyjnych, których dotyczy art. 30 Rozporządzenia 2017/565.
6. Czy dopuszczalny jest „outsourcing” funkcji compliance z biura maklerskiego do pozostałej części banku?
Data aktualizacji: 5 czerwca 2023
Zgodnie z art. 111 ust. 5 u.o.i.f. uzyskanie zezwolenia na prowadzenie działalności maklerskiej przez bank wymaga wyodrębnienia tej działalności od pozostałej działalności banku, tj. wyodrębnienia organizacyjnego.
Zgodnie z § 2 pkt 4 Rozporządzenia1 przez biuro maklerskie należy rozumieć „oddział lub inną jednostkę banku prowadzącego działalność maklerską działającą na zasadach oddziału, wyodrębnioną organizacyjnie, w ramach której bank prowadzi tę działalność”.
Wyodrębnienie to powinno być rozumiane jako autonomia gwarantująca możliwość samodzielnego świadczenia usług wraz z odpowiednim zapleczem organizacyjnym oraz czuwaniem nad prawidłowością świadczenia tych usług.
Wydzielenie organizacyjne, zapewniające wskazaną powyżej autonomię biura maklerskiego, jest ściśle związane z osobami wykonującymi czynności w ramach tego biura. Zgodnie bowiem z § 2 ust. 2 Rozporządzenia o wydzieleniu2 „czynności związane z prowadzeniem działalności maklerskiej wykonują pracownicy zatrudnieni w biurze maklerskim lub osoby pozostające z biurem maklerskim w stosunku zlecenia lub innym stosunku prawnym o podobnym charakterze”. Biuro maklerskie powinno mieć zatem oddzielną od banku kadrę pracowniczą. Oznacza to w szczególności, że czynności compliance w biurze maklerskim mogą być wykonywane jedynie przez pracowników związanych z biurem maklerskim umowami, o których mowa w cytowanym powyżej przepisie.
Dodatkowo § 24 ust. 6 Rozporządzenia określa zasady podległości służbowej inspektora nadzoru w biurze maklerskim: „W przypadku banku prowadzącego działalność maklerską w formie biura maklerskiego inspektor nadzoru podlega bezpośrednio osobie kierującej biurem maklerskim”.
Z powyższego jasno wynika, że w ramach autonomii biura maklerskiego w jego strukturze organizacyjnej powinna funkcjonować komórka/funkcja compliance przeznaczona stricte do czuwania nad prawidłowością świadczenia usług w ramach biura maklerskiego. Wskazywane powyżej przepisy Rozporządzenia i Rozporządzenia o wyodrębnieniu dookreślają tę niezależność poprzez zasady zatrudniania pracowników w ramach biura maklerskiego oraz poprzez określenie podległości służbowej inspektora nadzoru.
Rekomendacja H dotycząca systemu kontroli wewnętrznej w bankach („Rekomendacja H”), w ocenie KNF, nie pozostaje w sprzeczności z koniecznością wyodrębnienia niezależnej komórki/funkcji compliance w biurze maklerskim banku.
Rekomendacja H już w słowniczku wskazuje, że jednostką organizacyjną banku jest w szczególności biuro maklerskie (pkt 10 słowniczka), zaś komórka została zdefiniowana jako jedno lub wieloosobowy element struktury organizacyjnej wydzielony w ramach jednostki organizacyjnej dla realizacji określonych zadań (pkt 14 słowniczka).
Proces zarządzania ryzykiem braku zgodności w banku jest realizowany przez komórkę do spraw zgodności. Na ten proces składa się nie tylko praca tej jednej komórki banku (komórka compliance banku), ale także czynności wykonywane przez inne jednostki czy komórki (patrz definicja procesu pkt 23 słowniczka). Komórka compliance banku zarządza ryzykiem braku zgodności w całym banku, w tym w biurze maklerskim, co nie oznacza jednak, że samodzielnie wykonuje wszystkie funkcje z tego obszaru.
Funkcjonująca w ramach biura maklerskiego komórka compliance powinna być elementem procesu zarządzania ryzykiem braku zgodności w banku. Innymi słowy, komórka compliance banku powinna brać pod uwagę, w procesie zarządzania ryzykiem zgodności banku, prace komórki compliance w ramach biura maklerskiego.
Pozostaje to w zgodzie z Rekomendacją 12 (pkt 12.6 b), zgodnie z którą Zarząd banku powinien zapewnić kierującemu komórką do spraw zgodności oraz pracownikom tej komórki odpowiedni zakres uprawnień obejmujący w szczególności prawo do żądania informacji i danych oraz otrzymywania niezwłocznych odpowiedzi od pracowników i komórek organizacyjnych posiadających te informacje i dane.
Rekomendacja H nie stoi w żaden sposób na przeszkodzie stosowaniu przez biuro maklerskie banku przepisów Rozporządzenia i Rozporządzenia o wyodrębnieniu, tj. nie neguje ona konieczności istnienia w ramach struktury biura maklerskiego komórki zgodności z prawem, a wręcz, jak wykazano powyżej, wpływa pozytywnie na jakość procesu zarządzania ryzykiem braku zgodności w ramach banku.
Nie jest zatem możliwe scalenie jednostki compliance banku i jednostki compliance biura maklerskiego. Ponadto, outsourcing zakłada zaangażowanie podmiotu trzeciego. W przypadku przekazywania kompetencji pomiędzy jednostkami banku nie ma rozdzielności podmiotowej, a tym samym nie można mówić o outsourcingu czynności w ramach tego samego podmiotu.
Inaczej sytuacja wygląda w przypadku banku powierniczego: zgodnie z § 30 ust. 3 Rozporządzenia inspektorem nadzoru w banku powierniczym może być osoba kierująca komórką nadzoru wewnętrznego banku.
_____________________
1 Rozporządzenie Ministra Finansów z dnia 29 maja 2018 r. w sprawie szczegółowych warunków technicznych i organizacyjnych dla firm inwestycyjnych, banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, i banków powierniczych (dalej „Rozporządzenie”).
2 Rozporządzenie Ministra Finansów z dnia 12 kwietnia 2006 r. w sprawie szczegółowych zasad organizacyjnego wydzielenia działalności maklerskiej banku (dalej „Rozporządzenie o wydzieleniu”).
7. Jaka jest relacja pomiędzy definicją outsourcingu określoną w u.o.i.f. i rozporządzeniu 2017/565 a Wytycznymi EBA, a tym samym jakie normy należy stosować w kontekście obowiązków spoczywających na banku prowadzącym działalność maklerską w odniesieniu do outsourcingu czynności związanych z prowadzeniem działalności maklerskiej?
Data aktualizacji: 5 czerwca 2023
Zgodnie z art. 81a ust. 1 u.o.i.f. firma inwestycyjna (w tym bank prowadzący działalność maklerską) może, na podstawie umowy zawartej w formie pisemnej, powierzyć przedsiębiorcy lub przedsiębiorcy zagranicznemu wykonywanie czynności, o których mowa w art. 2 pkt 3 rozporządzenia 2017/565 (outsourcing). Outsourcing oznacza dowolnego rodzaju umowę między firmą inwestycyjną i dostawcą usług, na podstawie której dostawca wykonuje proces, usługę lub działalność, które w innym przypadku zostałyby wykonane przez samą firmę inwestycyjną (art. 2 pkt 3 rozporządzenia 2017/565).
Zgodnie z pkt 12 Wytycznych EBA „outsourcing” oznacza umowę w dowolnej formie zawartą między instytucją, instytucją płatniczą lub instytucją pieniądza elektronicznego a usługodawcą, na mocy której usługodawca realizuje proces, usługę lub zadanie, które w przeciwnym razie byłoby realizowane przez samą instytucję, instytucję płatniczą lub instytucję pieniądza elektronicznego.
Na poziomie definicyjnym można zatem uznać, że pojęcie outsourcingu w rozporządzeniu 2017/565 i u.o.i.f. oraz Wytycznych EBA ma tożsamy zakres pojęciowy. Oznacza to, że w przypadku stwierdzenia, że powierzenie usługodawcy wykonywania określonych czynności (w zakresie czynności stanowiących działalność maklerską) przez bank prowadzący działalność maklerską stanowi outsourcing w rozumieniu rozporządzenia 2017/565, będzie to również outsourcing w rozumieniu Wytycznych EBA1.
Bank prowadzący działalność maklerską powinien stosować w tym zakresie u.o.i.f. i rozporządzenie 2017/565 oraz Wytyczne EBA.
W odniesieniu do outsourcingu w rozumieniu u.o.i.f i rozporządzenia 2017/565 szczególne obowiązki spoczywają na banku, w przypadku gdy powierzenie dotyczy podstawowych lub istotnych funkcji operacyjnych w rozumieniu art. 30 rozporządzenia 2017/565. W szczególności, zgodnie z art. 81a ust. 2 u.o.i.f., na banku prowadzącym działalność maklerską spoczywają wówczas obowiązki wynikające z przepisów art. 31 i art. 32 rozporządzenia 2017/565.
Zgodnie z art. 30 rozporządzenia 2017/565 funkcje operacyjne uznaje się za funkcje o podstawowym lub istotnym znaczeniu (ang. critical and important operational functions), o ile błąd lub niepowodzenie w ich wykonaniu zagrażałyby w sposób istotny ciągłości wypełniania przez firmę inwestycyjną warunków zezwolenia lub spoczywających na niej innych zobowiązań wynikających z dyrektywy 2014/65/UE lub też zagrażałaby jej wynikom finansowym, niezawodności lub ciągłości wykonywanych przez nią usług inwestycyjnych i działalności inwestycyjnej.
Bank prowadzący działalność maklerską w kontekście outsourcingu powinien stosować nie tylko przepisy u.o.i.f. oraz rozporządzenia 2017/565, ale również Wytyczne EBA. W pkt 29 Wytycznych EBA wskazano, że instytucje i instytucje płatnicze uznają funkcję za krytyczną lub istotną (ang. consider a function as critical or important):
a) o ile błąd lub niepowodzenie w ich wykonaniu zagrażałyby w sposób istotny:
ciągłości wypełniania warunków zezwolenia lub innych zobowiązań wynikających z dyrektywy 2014/65/UE, rozporządzenia (UE) nr 575/2013, dyrektywy (UE) 2015/2366 i dyrektywy 2009/110/WE oraz obowiązków regulacyjnych;
wynikom finansowym; lub
niezawodności lub ciągłości wykonywanych usług bankowych i płatniczych oraz działalności w tym zakresie;
b) w sytuacji gdy zleca się zadania operacyjne funkcji kontroli wewnętrznej na zasadzie outsourcingu, chyba że ocena wykaże, że niewykonanie funkcji będącej przedmiotem outsourcingu lub niewłaściwe jej wykonanie nie będzie miało niekorzystnego wpływu na skuteczność funkcji kontroli wewnętrznej;
c) w sytuacji gdy przedmiotem outsourcingu ma być działalność bankowa lub usługi płatnicze w zakresie wymagającym udzielenia zezwolenia przez właściwy organ, zgodnie z sekcją 12.1 Wytycznych EBA.
Definicja z Wytycznych EBA (w lit. a powyżej) dotycząca funkcji krytycznych lub istotnych stanowi odzwierciedlenie definicji funkcji o podstawowym lub istotnym znaczeniu w rozumieniu art. 30 rozporządzenia 2017/565. Wskazuje na to również wprost odesłanie w przypisie w pkt 29 Wytycznych EBA do przepisu art. 30 rozporządzenia 2017/565.
W przypadku stwierdzenia przez bank prowadzący działalność maklerską, że powierzenie usługodawcy wykonywania określonych czynności stanowi outsourcing funkcji o podstawowym lub istotnym znaczeniu w rozumieniu u.o.i.f. i rozporządzenia 2017/565, spowoduje to również automatycznie uznanie takiego powierzenia za outsourcing funkcji krytycznych lub istotnych w rozumieniu Wytycznych EBA. Oznacza to, że bank prowadzący działalność maklerską będzie obowiązany do łącznego stosowania u.o.i.f. i rozporządzenia 2017/565 oraz Wytycznych EBA w tym zakresie.
_____________________
1 Pośrednio wskazuje na to również brzmienie pkt 9 Wytycznych EBA, zgodnie z którym bez uszczerbku dla dyrektywy 2014/65/UE i rozporządzenia 2017/565 (które zawiera wymogi dotyczące outsourcingu przez instytucje wykonujące zawodowo usługi inwestycyjne oraz prowadzące działalność inwestycyjną, jak również odpowiednie wytyczne wydane przez Europejski Urząd Nadzoru Giełd i Papierów Wartościowych w odniesieniu do usług inwestycyjnych i działalności inwestycyjnej), instytucje, o których mowa w art. 3 ust. 1 pkt 3 dyrektywy 2013/36/UE , powinny spełniać Wytyczne EBA.
8. Czy firma inwestycyjna może przekazywać informacje stanowiące tajemnicę zawodową w rozumieniu art. 147 u.o.i.f usługodawcy, któremu powierzono wykonywanie czynności w ramach outsourcingu? Czy przekazanie tajemnicy zawodowej w ramach outsourcingu przesądza o tym, że takie powierzenie należy zakwalifikować jako powierzenie podstawowych lub istotnych funkcji operacyjnych w rozumieniu art. 30 Rozporządzenia 2017/565?
Data aktualizacji: 5 czerwca 2023
Zgodnie z art. 150 ust. 1 pkt 17 u.o.i.f dopuszczalne jest przekazywanie usługobiorcy przez firmę inwestycyjną informacji stanowiących tajemnicę zawodową w związku z zawarciem lub wykonywaniem umowy outsourcingu, o ile przekazanie tych informacji jest niezbędne dla zawarcia lub wykonania umowy. Dla kwalifikacji umowy outsourcingu jako powierzenie podstawowych lub istotnych funkcji operacyjnych w rozumieniu art. 30 Rozporządzenia 2017/565 nie ma znaczenia to, czy w ramach tego powierzenia dochodzi do przekazania usługobiorcy tajemnicy zawodowej. Dla dokonania takiej kwalifikacji kluczowe jest określenie charakteru i wpływu powierzonych czynności na działalność firmy inwestycyjnej.
9. Czy zmianę umowy outsourcingu uznać należy za istotną zmianę umowy jeżeli dotyczy ona:
(i) zmiany zakresu powierzonych czynności, w zakresie podstawowych lub istotnych funkcji operacyjnych w rozumieniu art. 30 ust. 1 Rozporządzenia 2017/5651, lub w zakresie danych stanowiących tajemnicę zawodową,
(ii) dalszego powierzenia czynności o których mowa w punkcie „(i)” (podoutsourcing),
(iii) zmiany kraju rejestracji podmiotów, którym powierzono czynności o których mowa w punkcie „(i)”
(iv) powierzenia w ramach istniejącej umowy czynności, o których mowa w punkcie „(i)”, w związku z czym klasyfikacja tej umowy ulega zmianie na umowę outsourcingu,
(v) zmiany kraju świadczenia usług, lub
(vi) zmiany okresu obowiązywania umowy?
Data aktualizacji: 26 stycznia 2026
Zmiana umowy w zakresie wskazanym w każdym z punktów powyżej stanowić będzie istotną zmianę umowy w rozumieniu art. 81d Ustawy2.
2Ustawa z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (t.j. Dz. U. z 2024 r. poz. 722 z późn. zm.).
10. Czy zmianę umowy outsourcingu obejmującą zmianę podwykonawcy, który wykonuje czynności inne niż czynności stanowiące podstawowe lub istotne funkcje operacyjne w rozumieniu art. 30 ust. 1 Rozporządzenia 2017/565 oraz nie ma dostępu do danych stanowiących tajemnicę zawodową, uznać należy za istotną zmianę umowy?
Data aktualizacji: 26 stycznia 2026
Jeżeli zmiana umowy dotyczy zakresu czynności innych niż podstawowe i istotne w rozumieniu art. 30 Rozporządzenia 2017/565 i w żaden sposób nie przekłada się na obszar dotyczący czynności podstawowych i istotnych, nie będzie to „istotna zmiana umowy” w rozumieniu art. 81d ust. 2 Ustawy.
11. Czy zmianę umowy outsourcingu obejmującą jedynie uszczegółowienie opisu usługi, bez faktycznej modyfikacji zakresu i charakteru tej usługi, uznać należy za istotną zmianę umowy?
Data aktualizacji: 26 stycznia 2026
Taka zmiana nie stanowi „istotnej zmiany umowy” w rozumieniu art. 81d ust. 2 Ustawy. Kluczowym elementem opisu analizowanego przykładu jest stwierdzenie „bez faktycznej zmiany usługi”. Spełnienie tego wymogu może w praktyce stwarzać trudności w ocenie, w jakim zakresie zmiana opisu usługi rzeczywiście ma techniczny charakter, a w jakim realnie zmienia samą usługę.
12. Czy zmianę umowy outsourcingu obejmującą aktualizację planów COB (Continuity of Business) dostawcy, określających procedury i instrukcje działania organizacji na wypadek zaistnienia poważnych zakłóceń, takich jak awaria informatyczna bądź atak terrorystyczny, uznać należy za istotną zmianę umowy?
Data aktualizacji: 26 stycznia 2026
Co do zasady, aktualizacja takich planów nie powinna stanowić istotnej zmiany, ale w zależności od ich charakteru, taka aktualizacja może stanowić „istotną zmianę umowy” w rozumieniu art. 81d ust. 2 Ustawy w zakresie, w którym wpływa na warunki, o których mowa w art. 31 ust. 2 Rozporządzenia 2017/565.
Zgodnie z tym przepisem, firmy inwestycyjne muszą zapewnić, by usługodawcy outsourcingu spełniali szereg warunków. Przykładowo, muszą oni mieć umiejętności, możliwości, należyte zasoby, wymagane prawem zezwolenia oraz odpowiednią strukturę organizacyjną sprzyjającą wykonywaniu zleconych funkcji. Firma inwestycyjna i usługodawca muszą wdrożyć plan awaryjny przewidujący sposoby odzyskiwania danych w przypadkach awarii wywołanych katastrofą. Firma inwestycyjna musi również zapewnić utrzymanie ciągłości i jakości funkcji lub usług zleconych w drodze outsourcingu. Spełnienie powyższych warunków w praktyce może być uzależnione od konstrukcji planów COB usługodawcy i ich treści. W sytuacji, w której aktualizacja planów COB przekładałaby się negatywnie na spełnianie przez dany stosunek outsourcingu warunków, o których mowa w art. 31 ust. 2 Rozporządzenia 2017/565, taka zmiana stanowiłaby „istotną zmianę umowy” w rozumieniu art. 81d ust. 2 Ustawy.
13. Czy zmianę umowy outsourcingu obejmującą: (i) zmianę miejsca świadczenia usługi w ramach tego samego kraju (zmiana adresu), lub (ii) zmianę innych elementów umowy, takich jak np. stawki czy nr konta, uznać należy za istotną zmianę umowy?
Data aktualizacji: 26 stycznia 2026
Zmiana umowy w zakresie wskazanym w każdym z punktów powyżej nie stanowi „istotnej zmiany umowy” w rozumieniu art. 81d ust. 2 Ustawy. Zmiany o charakterze technicznym czy edytorskim, niewpływające na treść przekazywanej usługi, a jedynie dotyczące kwestii stanowiących uszczegółowienie stosunku pomiędzy stronami, takich jak dane kontaktowe, wartości świadczeń pieniężnych itp., co do zasady, nie będą stanowić „istotnej zmiany umowy”.
Ocena charakteru „istotnej zmiany umowy” w rozumieniu art. 81d ust. 2 Ustawy każdorazowo wymaga weryfikacji okoliczności faktycznych i prawnych dotyczących określonej zmiany. Powyższe przykłady były rozpatrywane przy założeniu niewystępowania innych istotnych czynników. Biorąc pod uwagę specyfikę możliwych do zaistnienia stanów faktycznych, w określonej sprawie może okazać się, że ze względu na specyfikę dokonywanych zmian, przykłady wskazane wyżej jako niemające charakteru „istotnego”, w zaistniałym faktycznie kontekście mogą uzyskać taki charakter.